Vulnérabilité dans openssl publiée le 07 avril 2014

Risque : élevé

Plate-formeIndépendante de la plate-forme logicielle.

Version : 1.0.1 à 1.0.1f et  1.0.2beta1 embarquant l'extension heartbeat.

Préalable : vérifier si l'extension "hearbeat" est disponible, la commande openssl s_client -connect <adresse du serveur>:<port> -tlsextdebug | grep "TLS server extension" renvoie TLS server extension "heartbeat" (id=15), len=1

 

Recommandations :

  • mettre à jour les installations d'OpenSSL vulnérables ;
  • relancer les services susceptibles d'employer une ancienne version de la bibliothèque ou redémarrer le système; 
  • selon l'appréciation des risques, générer de nouveaux certificats.

Références :

Rectorat de Bordeaux - SSI | Plan du site | Recherche | Contact